什么是AI防火墙（AIFW）？

AI防火墙是NGFW的下一代产品，通过智能检测技术提升防火墙对高级威胁和未知威胁的检测能力。NGFW主要通过静态规则库检测威胁，难以应对变种的高级威胁。AI防火墙引入智能检测引擎，通过海量样本训练威胁检测模型并不断根据实时流量数据优化模型，从而提升了威胁检测能力。

为什么需要AI防火墙？

Gartner在2009年定义了NGFW，NGFW将应用识别、IPS、反病毒等多种安全业务与基础防火墙业务深度集成，并行处理，对流量进行深度安全检测。但是经过10余年，随着网络云化、移动化、物联网化的蓬勃发展，NGFW也面临着巨大挑战，高级威胁日益增多，而且衍生出很多变种，NGFW的静态规则库检测方式难以为继。

新型威胁层出不穷

从上图可以看出，除了传统的病毒、木马等威胁，以APT（Advanced Persistent Threat，高级持续性威胁）为代表的高级威胁不断演进，面对巨大的经济利益诱惑，勒索软件、M2M攻击等攻击行为越来越多样。高级威胁更隐蔽、扩散更迅速，而且高达70%的网络攻击采用加密手段。面对快速变化的威胁种类，传统NGFW主要问题如下：

• 基于签名的威胁检测无法应对高级、未知威胁
  基于签名的威胁检测依赖于特征库（静态规则库）， 而特征库中的签名是针对已知威胁的特征描述而且容量有限，面对未知、变种的高级威胁无能为力。这种滞后于威胁发生的检测方式导致威胁检测误报率高、威胁响应不及时。
• 威胁多层次、立体化、更隐蔽，签名匹配无法防御整体攻击链
  IOT的推广带来了更大范围内的安全威胁，据统计很多企业来自内网的威胁都显著增加，这说明攻击不仅局限于外部。黑客从外部渗透、远程控制，到内部扩散、窃取破坏形了成完整的攻击链。NGFW单纯通过签名匹配报文内容，不具备识别攻击链全过程的能力，无法精准防御攻击行为。
  另外威胁越来越隐蔽，大部分威胁隐匿于加密通道之下，签名匹配无法提取加密流量特征。防火墙急需一双不解密就可以洞察一切的“透视眼”，让威胁无处遁形。
• 威胁处置人工程度高、花费时间长
  防火墙部署后不是一劳永逸，运维工作非常关键。管理员需要不断调整策略应对不断变化的威胁，需要分析攻击日志及时处置威胁事件、加固企业设施。但是这些工作依赖于管理员的技能水平而且非常繁琐，效果难以保证。防火墙需要具备自动化的数据分析、威胁处置能力。
  综上，面对网络和威胁的不断演进，NGFW需要更新换代。日益发展的人工智能技术为防火墙带来了新的契机，华为推出运用智能检测技术的AI防火墙，采用机器学习和深度学习构建威胁检测模型，极大提升了威胁检测的准确性和及时性。同时引入自动化处置技术，自动调测策略、分析威胁流量，减轻运维压力。

AI防火墙与下一代防火墙NGFW的差异

Gartner定义的NGFW主要能力是应用识别、集成IPS功能深度检测流量。如前文所述NGFW需要更新换代，各厂商也开始引入新技术增强防火墙功能，但是目前并没有业界通用NGFW的下一代产品的定义。以下仅从华为AI防火墙的角度对比与NGFW的主要差异。

NGFW与AI防火墙主要能力对比

AI防火墙的主要优势在于“智能”，不再单纯依赖既定签名特征机械识别已经认识的威胁，而是通过大量样本和算法训练威胁检测模型，从而使防火墙可以自主检测高级未知威胁。随之而来的就是引入智能检测技术后，对硬件算力的要求更高，否则智能检测实力难以发挥。AI防火墙需要提供专用硬件支撑智能检测算力，提升威胁检测性能。

AI防火墙检测高级威胁

前文多次提到AI防火墙可以检测高级威胁，那么具体是如何检测的呢？“智能”体现在哪里？智能就体现在AI防火墙内置的智能检测引擎，引擎通过机器学习获取的威胁检测模型检测高级威胁。

智能检测引擎中的检测模型主要有2种来源：

• 云端样本训练（监督学习）
  在云端采用监督学习的方式对百万级数量的样本进行训练，提取威胁检测模型，然后将模型下发到防火墙执行检测。
• 本地学习（非监督学习）
  在本地采用非监督学习的方式，根据现网流量持续学习。

监督学习与非监督学习可以更有效地检测频繁变种的恶意文件，发现失陷主机和被远程控制的肉鸡，监测数据加密外发窃取，识别慢速和分布式暴力破解等恶意行为。学习过程中利用海量数据分析训练生成威胁检测模型，并不断根据现网数据优化模型，自我进化。云端训练更新的模型将直接下发到防火墙而无需系统软件升级。

AI防火墙智能检测引擎

高级威胁往往是一个有组织、有计划的攻击过程。AI防火墙提供多种技术在攻击链关键节点阻断攻击，例如：

• 外部渗透阶段：攻击的第一步是通过钓鱼邮件、USB等发方式传播恶意文件到内网，如果能在此节点阻断恶意软件传播就掐断了攻击链。
  AI防火墙采用智能恶意文件检测算法提取文件特征，而并非传统的规则库检测恶意文件，极大提升了检出率。
• 攻击者与失陷主机交互：主机执行恶意软件成为失陷主机，攻击者与失陷主机就会通过C&C通道进行通信，例如攻击者向失陷主机下发指令、失陷主机外发数据等。
  AI防火墙提供C&C外联通道检测、DGA域名检测技术阻断非法通信。另外为了掩护通信过程，C&C流量往往加密传输，AI防火墙具备不解密就可以检测加密流量的能力，异常C&C流量无处遁形。

AI防火墙产品

2018年华为首次发布中低端AI防火墙USG6000E系列，随后又发布了高端AI防火墙USG12000系列，搭载智能检测引擎检测高级威胁，并支持加密流量免解密威胁检测。内置专用硬件处理引擎业务，防火墙威胁检测性能高。

华为AI防火墙产品

来源：全栈云技术架构

下载链接：

《下一代防火墙专题》 

1、下一代防火墙防御安全体系.pdf

2、下一代防火墙品白皮书.pdf 

3、下一代防火墙白皮书.pdf 

4、下一代防火墙发展趋势研究白皮书.pdf

转载申明：转载本号文章请注明作者和来源，本号发布文章若存在版权等问题，请留言联系处理，谢谢。

推荐阅读

更多架构相关技术知识总结请参考“架构师全店铺技术资料打包”相关电子书(37本技术资料打包汇总详情可通过“阅读原文”获取)。

全店内容持续更新，现下单“全店铺技术资料打包(全)”，后续可享全店内容更新“免费”赠阅，价格仅收198元(原总价350元)。

温馨提示：

扫描二维码关注公众号，点击阅读原文链接获取“架构师技术全店资料打包汇总(全)”电子书资料详情。